面对日益严峻的网络安全问题，CDN能够作什么？

在咱们享受着互联网提供的更便利、更多元服务的同时，隐匿在网络身处的各种安全问题也日益严峻。在去年，阿里云云安全监测到云上DDoS攻击发生近百万次，应用层DDoS（CC攻击）成为常见的攻击类型，攻击手法也更为多变复杂；同时，Web应用安全相关的问题依然占据很是大的比重，从用户信息泄露到羊毛党的狂欢，无时无刻不在考验着每个行业、每个Web应用的安全水位。

为了让承载数据传输的网络平台更加安全可靠，做为互联网入口的CDN一直不断夯实安全上的能力，朝着企业级的安全加速架构进行技术演进。本文将带你了解：为了帮助企业应对愈发严峻的网络安全态势，CDN能够作什么？

咱们先来看看常见的网络攻击风险类型有哪些？

1、DDoS攻击

DDoS攻击类型已有20多年历史，它攻击方式简单直接，经过伪造报文直接拥塞企业上联带宽。随着IoT等终端设备增多，网络攻击量也愈发凶猛。根据阿里云安全中心报告显示，在2019年，超过100G的攻击已经比较常见，并且超过 500G 的攻击也已经成为常态。一旦企业服务面临这种状况，上联带宽被打满，正常请求没法承接，就会致使企业服务没法正常提供线上服务。所以，防护DDoS 攻击依然是企业首先要投入去应对的问题。

2、CC攻击

相比于四层DDoS攻击伪造报文，CC攻击经过向受害的服务器发送大量请求来耗尽服务器的资源宝库CPU、内存等。常见的方式是访问须要服务器进行数据库查询的相关请求，这种状况想服务器负载以及资源消耗会很快飙升，致使服务器响应变慢甚至不可用。

3、Web攻击

常见的 Web 攻击包括SQL 注入、跨站脚本攻击XSS、跨站请求伪造CSRF 等。与DDoS和CC以大量报文发起的攻击相比，Web 攻击主要是利用 Web 设计的漏洞达到攻击的目标。一旦攻击行为实施成功，要么网站的数据库内容泄露，或者网页被挂马。数据库内容泄露严重影响企业的数据安全，网页被挂马会影响企业网站的安全形象以及被搜索引擎降权等。

4、恶意爬虫

根据阿里云安全中心的报告数据显示，2019年，恶意爬虫在房产、交通、游戏、电商、资讯论坛等几个行业中的占比都超过50%。恶意爬虫经过去爬取网站核心的内容，好比电商的价格信息等，对信息进行窃取，同时也加剧服务器的负担。

5、劫持篡改

劫持和篡改比较常见，当网站被第三方劫持后，流量会被引流到其余网站上，致使网站的用户访问流量减小，用户流失。同时，对于传媒、政务网站来讲，内容被篡改会引起极大的政策风险。

应对网络安全问题，CDN均可以作什么呢？

1、源站保护

因为CDN的分布式架构，用户经过访问就近边缘节点获取内容，经过这样的跳板，有效地隐藏源站IP，从而分解源站的访问压力。当大规模恶意攻击来袭时，边缘点节能够作为第一道防线进行防御，大大分散攻击强度，即便是针对动态内容的的恶意请求，阿里云CDN的智能调度系统还能够卸载源站压力，维护系统平稳。

2、防篡改能力

阿里云CDN提供企业级全链路HTTPS+节点内容防篡改能力，保证客户从源站到客户端全链路的传输安全。在链路传输层面，经过HTTPS协议保证连接不可被中间源劫持，在节点上能够对源站文件进行一致性验证，若是发现内容不一致会将内容删除，从新回源拉取，若是内容一致才会进行分发。整套解决方案可以在源站、链路端、CDN节点、客户端全链路保证内容的安全性，提供更高的安全传输保障。

3、访问和认证安全

阿里云CDN能够经过配置访问的referer、User-Agent以及IP黑白名单等多种方式，来对访问者身份进行识别和过滤，从而限制资源被访问的状况；而且设置鉴权Key对URL进行加密实现高级防盗链，保护源站资源。同时经过构建IP信誉库，增强对黑名单IP的访问限制。

除了基础防御，怎么构建更多层次的纵深防御？

除此以外，面对愈发严峻的网络安全态势，为了应对安全风险，企业在关注线上业务的流畅、稳定的同时，也要构建多层次纵深防御体系，在网络层、传输层、应用层等多层次构建防御能力，同时在应用层，对于不一样场景要有不一样防御措施。

一、在网络层，须要进行DDoS攻击的清洗和处理，当形成更严重影响须要经过切换IP以及联合黑洞机制去缓解。
二、在传输层，相较于传统明文传输，经过https的支持去进行传输层面加密，来避免证书伪造。
三、在应用层，须要进行CC防御、防爬、业务防刷的能力部署，防止恶意攻击者刷带宽的状况发生，避免经济和业务损失。贴近源站的防御方面，须要部署WAF和防篡改，对源站和内容进行防御。

经过CDN能够实现基础安全能力，可是面对更多复杂的网络攻击，CDN与云安全能力的结合，经过一些简单的额外配置，就能够更好地抵御外界攻击，保障业务安全平稳。

1、结合CDN实现DDoS清洗

阿里云CDN面向企业提供边缘化的应用层DDoS，即CC防御能力，能够经过IP，Header参数，URL参数等多个维度进行监控，并能够经过次数，状态码，请求方法进行数据统计，并最终进行恶意访问的安全拦截，有效保证正常业务量的访问。面对网络层DDoS攻击，CDN产品与DDoS产品能够实现联动，在分发场景中能够经过CDN进行分发，在DDoS攻击发生时，能够探测攻击的区域，并有效的将攻击调度到DDoS进行防御清洗，有效保护源站。

经过联动方案能够有效利用海量DDoS清洗，完美防护SYN 、ACK 、ICMP 、UDP 、NTP 、SSDP 、DNS 、HTTP 等Flood。同时，基于阿里云飞天平台的计算能力和深度学习算法，智能预判DDoS攻击，平滑切换高防IP，不影响业务运行。

2、CDN结合WAF层层过滤恶意请求

CDN结合WAF能力，造成边缘的应用层防御能力，将业务流量进行恶意特征识别及防御，将正常、安全的流量回源到服务器。避免网站服务器被恶意入侵，保障企业业务的核心数据安全，解决因恶意攻击致使的服务器性能异常问题。CDN WAF提供虚拟补丁，针对网站被曝光的最新漏洞，最大可能地提供快速修复规则。而且依托云安全，快速的漏洞响应速度，及时的漏洞修复能力。

Web防御的策略是经过层层过滤，来抵御恶意请求。第一层是精准访问控制，指具体对http请求的拦截策略；第二层是区域封禁，对业务无效区或者异常地域请求进行拦截；第三层IP信誉系统，是利用阿里云多年积累的互联网IP大数据画像，对恶意行为进行分类并对IP进行拦截；第四层是黑名单系统，是对某些UA或者IP进行拦截，以上四层都属于精确拦截；第五层是频次控制，对相对高频且访问异常IP进行拦截；第六层是对于互联网机器流量进行管理，阻断恶意爬虫；第七第八层是WAF和源站高级防御，对于源站进行更深层次的防御。

3、基于机器流量管理识别互联网Bot流量，阻断恶意爬虫

机器流量管理部署在边缘，当各类互联网访问进入CDN边缘节点以后，机器流量管理系统会提取最原始的Client信息，分析信息计算Client特征值，并与阿里云安全积累的机器流量特征库进行匹配，最终识别结果，正常访问、搜索引擎、商业爬虫这些行为是网站指望的行为，会被放行，而恶意爬虫会被拦截。在处置动做上，机器流量管理相比当前常见嵌入在正常页面中的行为，侵入性有所下降，支持相对平滑的接入。

下图是一个实际的案例，在执行机器流量管理策略的时候，首先会对某域名进行流量分析，左侧图是针对某域名开启机器流量分析后，识别出超过 82% 的请求为恶意爬虫，而后开启拦截机器流量中的恶意爬虫流量后，如右侧图所示，域名峰值带宽降低超过80%。

综上，基于对纵深防御的理解，阿里云CDN的安全架构是基于CDN分布式节点实现的边缘安全防御机制，同时联动高防清洗中心进行防御。

若是您对阿里云边缘安全感兴趣，能够登陆[阿里云官网CDN产品详情页]，了解CDN+WAF能力，以及登陆[安全加速SCDN产品详情页]，了解CDN边缘节点+云安全更多产品能力。

具体潜在风险及应对方法

近期阿里云CDN团队发现部分域名出现非正常业务访问，致使带宽突发，产生了高额帐单，给客户带来了高于平常消费金额的帐号。为最大程度的保障客户权益。阿里云CDN建议您关注以下应对方法：

潜在风险

• 在攻击行为发生的时候，实际消耗了CDN的带宽资源，所以您须要自行承担攻击产生的流量带宽费用。
• 客户流量被恶意盗刷而产生突发带宽增高的状况与被攻击的状况相似，由于实际消耗了CDN的带宽资源，因此您须要自行承担攻击产生的流量带宽费用。

应对办法

为保障服务的正常运行和避免高额帐单的出现，建议开启防御功能或者对流量进行相应的管理。
若是您的业务有潜在的被攻击风险，建议开通SCDN产品，SCDN产品有更强大的总体安全防御能力。详细请参见[安全加速SCDN]

开启防御功能：

开启流量管理：

CDN安全直播预告

使用CDN的常见误区和问题有哪些？
DDoS攻击是如何一步步演进的？
CDN中场景更有效的防御方式是什么？
阿里云CDN边缘安全体系如何帮助客户抵御攻击？

12月17日15：00-15：30，阿里云CDN产品专家彭飞将带来《正确使用CDN 让你规避安全风险》，点击预定直播：https://yqh.aliyun.com/live/d...